La Direttiva NIS2 mira a ridurre l’impatto degli incidenti di sicurezza informatica e a migliorare le difese dei Paesi dell’Unione Europea contro potenziali cyber attacchi, introducendo obblighi di carattere normativo.
“A oggi, però, solo tre stati europei, il Belgio, l’Ungheria e la Croazia, hanno recepito la Direttiva”, afferma Lorenzo Ruspi, Dpo e Gdpr Compliance Consultant, in occasione di un tour itinerante organizzato da Smeup per sensibilizzare le imprese italiane sulla necessità di adottare le misure previste nella Direttiva.
“Con ogni probabilità questo termine slitterà regalando un po’ più di tempo alla aziende per adeguarsi alle indicazioni della Nis2”. Una dinamica che trasforma le sfide poste dalla Direttiva in una grande opportunità per le imprese di innalzare il proprio livello di cybersecurity.
Da sfida a opportunità: la NIS2 in breve
La NIS2 si pone tre obiettivi principali:
- Misure tecniche: verificare se le aziende hanno implementato soluzioni e misure tecniche resilienti;
- Governance: per essendosi dotati di soluzioni per la cyber resilienza, le aziende devono formalizzare una struttura per gestirle;
- Sicurezza della catena di fornitura: le aziende devono anche valutare e gestire i rischi per i fornitori e partner terzi, poiché gli attacchi alla supply chain sono in costante aumento.
La catena di fornitura è, pertanto, un elemento fondamentale sia per le imprese che fanno parte della supply chain di un operatore che rientra nelle categorie essenziali e importanti, sia per gli stessi operatori che devono rispondere agli obblighi di legge.
Uno dei punti salienti della NIS2 è l'ampliamento del campo di applicazione, che viene esteso includendo nuovi contesti in base al loro grado di digitalizzazione e importanza per le attività economiche e sociali.
In particolare, la Direttiva copre tutte le organizzazioni che forniscono servizi identificati come essenziali o importanti per l'economia europea, come le aziende che operano nei settori dell'energia, dei trasporti, di banche e servizi del mercato finanziario, della sanità, della fornitura e distribuzione di acqua potabile e delle infrastrutture digitali.
Gap analysis, tra i suggerimenti per le aziende
Il primo passo da fare per un’impresa è una valutazione iniziale dell’ambito di applicabilità della Direttiva attraverso una gap analysis di Information & Cybersecurity al fine di fotografare l’attuale postura di sicurezza dell’organizzazione e quindi identificare le necessità di miglioramento e/o adeguamento alle normative internazionali.
A valle di questa valutazione, l'azienda dovrà mettere in atto un piano di miglioramento/adeguamento della postura di sicurezza, che comprende i meccanismi, le politiche, le procedure e le operazioni che un'organizzazione intraprende per la resilienza informatica
Gli interventi operativi riguardano la costruzione di un sistema di gestione/governance robusto in ambito sicurezza delle informazioni e relativi audit e la costruzione di un sistema di monitoraggio della catena di fornitura con un focus sui fornitori critici lato sicurezza delle informazioni.
